Der IT-Security-Spezialist Eset warnt vor einer Sicherheitslücke in Notebooks des Herstellers Lenovo. Besitzerinnen und Besitzern betroffener Geräte wird empfohlen, umgehend ihre Firmware upzudaten. [...]
Millionen von Lenovo-Nutzerinnen und -Nutzer sollten schnellstmöglich die Firmware ihrer Geräte auf den neuesten Stand bringen – so die dringende Empfehlung des Cybersecurity-Herstellers Eset. Forscher des Unternehmens haben nämlich eigenen Angaben zufolge gleich drei gefährliche Schwachstellen auf den Geräten entdeckt, die Angreifern Tür und Tor auf den Laptops öffnen.
So könnten beispielsweise über die Sicherheitslecks brandgefährliche UEFI-Malware, wie Lojax oder ESPecter eingeschleust werden, schreiben die Eset-Spezialisten in einem Blog-Beitrag auf WeLiveSecurity. Das Unified Extensible Firmware Interface (UEFI) ist die Firmware des Mainboards und für Cyberkriminelle deswegen so wertvoll, weil sie darüber Hardwareinformationen im laufenden Betrieb auslesen und manipulieren können. Da UEFI noch vor dem Betriebssystem gestartet wird, ist es möglich, hier resistente Malware zu implementieren.
Insgesamt umfasst die Gefährdungsliste mehr als 100 verschiedene Modelle des Herstellers Lenovo, die ebenfalls in dem Online-Beitrag publiziert wurden.
Updates umgehend installieren oder TPM-Lösung einsetzen
Die Eset-Forscher raten allen Besitzerinnen und Besitzern von Lenovo-Laptops, sich die Liste der betroffenen Geräte anzuschauen und ihre Firmware nach den Anweisungen des Herstellers zu aktualisieren.
Sollten Geräte keine Hersteller-Updates mehr erhalten und von der UEFI SecureBootBackdoor (CVE-2021-3970) betroffen sein, empfehlen die Experten, eine sogenannte «Trusted Platform Module»-Lösung (TPM) zur vollständigen Festplattenverschlüsselung zu verwenden. Dadurch seien die Festplattendaten unzugänglich, wenn die UEFI-Secure-Boot-Konfiguration geändert werde, schreibt Eset.
«UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotential dar», warnt Eset-Forscher Martin Smolár, der die Schwachstellen entdeckt hat. «Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet. Das bedeutet, dass sie fast alle Sicherheitsmaßnahmen und Begrenzungen auf höheren Ebenen gegen Schadcode umgehen», gibt er weiter zu bedenken. «Unsere Entdeckung dieser UEFI-Hintertüren zeigt, dass der Einsatz von diesen speziellen Bedrohungen in einigen Fällen nicht so schwierig ist wie erwartet.
Die größere Anzahl von UEFI-Gefahren, die in den letzten Jahren gefunden wurden, deutet darauf hin, dass sich die Angreifer dessen bewusst sind», fügt er hinzu. «Alle UEFI-Bedrohungen, die in den letzten Jahren entdeckt wurden, wie LoJax, MasaicRegressor, MoonBounce, ESPecter oder Finspy, mussten die Sicherheitsmechanismen auf irgendeine Weise umgehen oder deaktivieren», weiß Smolár zu berichten.
«Sichere» Backdoors deaktiviert UEFI-Secure-Boot-Funktion
Die ersten beiden dieser Schwachstellen (CVE-2021-3970, CVE-2021-3971) werden gemäß Angaben von Eset als «sichere», in die UEFI-Firmware eingebaute, Hintertüren bezeichnet. Der Grund für diese Bezeichnung sind die Namen, die den UEFI-Treibern von Lenovo gegeben wurden, die eine dieser Schwachstellen (CVE-2021-3971) implementieren: SecureBackDoor und SecureBackDoorPeim.
Diese eingebauten Hintertüren könnten aktiviert werden, um den SPI-Flash-Schutz (BIOS-Kontrollregister-Bits und Protection-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während des laufenden Betriebssystems zu deaktivieren, schreibt Eset.
Darüber hinaus habe die Untersuchung der Binärdateien der «sicheren» Backdoors eine dritte Schwachstelle zum Vorschein gebracht (CVE-2021-3972), heißt es weiter. Diese ermögliche willkürliche Lese-/Schreibzugriffe von/auf System Management RAM (kurz: SMRAM), was zur Ausführung von bösartigem Code mit höheren Privilegien führen könne.
*Jens Stark ist Autor bei COM!professional.
Be the first to comment